A World Wide Web e a FIDO Alliance W3C confirmaram esta semana que o WebAuthn passou a ser um standard oficial de autenticação na web, e promovem a sua adoção por parte das empresas para facilitar inícios de sessão fáceis e seguros sem necessidade de passwords
O consórcio World Wide Web (W3C) e a FIDO Alliance anunciaram no passado dia 4 de março que a partir de agora a especificação Web Authentication (WebAuth) é um standard de autenticação oficial para a web.
Isto permitirá que utilizadores de browsers compatíveis com o WebAuthn, como o Chrome, Firefox, Edge ou Safari possam passar a utilizar esta API como mecanismo de acesso às suas contas mediante dispositivos móveis, chaves de segurança USB ou sistemas biométricos, substituindo assim ao uso de passwords, aumentando a sua segurança. Este sistema é mais seguro que aquele que permite a utilização de uma password fraca, como as que muitas vezes acabam por ser escolhidas pelos utilizadores.
Em abril de 2018, a W3C e a FIDO Alliance aprovaram o WebAuthn como novo standard para o início de sessão sem password. Apesar de ter contado desde logo com o apoio de browsers como o Chrome, Firefox e Edge, a Apple não se tinha pronunciado, até que, finalmente, o incorporou em dezembro de 2018 no Safari. Por outro lado, o Windows 10 e Android também já suportam WebAuthn.
A partir deste comunicado e a confirmação de que agora o WebAuthn é um standard oficial “espera-se que a sua adoção por parte de serviços web e empresas cresça e que desta forma consiga avançar para um sistema menos vulnerável como é o das passwords, permitindo aos utilizadores melhorar a segurança das suas experiências online”, disse o CEO da W3C, Jeff Jaffe. Alguns dos serviços que já incorporaram o WebAuthn são o Airbnb, Apple, Google, Microsoft, IBM, Intel, Mozilla, PayPal, entre outros.
Segundo o comunicado, “o uso de passwords deixou de ser eficaz, não apenas porque podem ser roubadas, filtradas ou porque se continuam a utilizar passwords pré-definidas, mas também porque os utilizadores investem demasiadas horas por ano colocando as suas chaves de acesso ou a tentar fazer o resetde passwords”. Neste sentido, um estudo recente elaborado pela Yubico assegura que os utilizadores investem em média 10,9 horas por ano nestas ações, o que representa para as empresas um custo anual de aproximadamente 5,2 milhões de dólares.